Router-Sicherheit

UPnP-Sicherheitslücke: Viele Router wurden noch nicht aktualisiert

BSI empfiehlt Surfern weiterhin Deaktivierung von UPnP im Router
Von mit Material von dpa
AAA

UPnP-Sicherheitslücke: Viele Router wurden noch nicht aktualisiertUPnP-Sicherheitslücke: Viele Router wurden noch nicht aktualisiert Die heimischen Gerät­schaften vom Rechner über den Router bis hin zu Konsole, Smartphone oder Tablet kommuni­zieren oft frei­mütig per LAN oder WLAN mit­ein­ander. Das Ziel der auto­matischen "Hinter­grund­gespräche": Der Nutzer soll etwa Musik oder Videos be­quem ab­spielen oder Inter­net­dienste sofort nutzen können - ohne groß Ein­stellungen vor­nehmen zu müssen. Der Standard dahinter nennt sich Universal Plug and Play (UPnP). Er ist nützlich, kann aber ein Sicher­heits­risiko dar­stellen.

Dass etwa Hersteller UPnP-Spezifikationen fehlerhaft umgesetzt und damit Sicherheitslücken aufgerissen haben, war schon länger bekannt. Das mögliche Ausmaß überraschte dann aber doch, als US-CERT, die Computer-Task-Force der US-Regierung, im Januar eindringlich vor UPnP warnte. Grund war eine Studie, nach der weltweit bis zu 50 Millionen netzwerkfähige Geräte anfällig für Angriffe von außen sein könnten - Drucker, IP-Kameras, Medienserver, Smart-TV-Geräte oder Router, die als Tor zum Internet in fast jedem Haushalt stehen.

Netzwerk-Check des niedersächsischen Landesdatenschutzbeauftragten

Entsprechend groß ist die Verunsicherung. Wer wissen möchte, ob eigene Geräte betroffen sind, kann online einen Netzwerk-Check machen, den "Heise Security" gemeinsam mit dem niedersächsischem Landesdatenschutzbeauftragten (LfD) anbietet. Als die UPnP-Problematik im Januar publik wurde, seien die Server unter den vielen Anfragen fast in die Knie gegangen, sagt Jürgen Schmidt, Chefredakteur von "Heise Security".

In betroffenen Geräten sollte UPnP ausgeschaltet werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt ohnehin den meisten Internetnutzern die Deaktivierung der UPnP-Funktion im Router. Sie dient ohnehin lediglich der direkten automatischen Kommunikation zwischen Geräten, egal ob über ein Netzwerkkabel, WLAN oder Bluetooth, und wird in vielen Fällen gar nicht gebraucht.

UPnP sei für lokale Netzwerke entwickelt worden, erklärt Manfred Grabow vom LfD. Wenn ein UPnP-fähiges Gerät nun aber von außen erreichbar sei, dann "hat es der Nutzer nicht mehr in der Hand, was geschieht". Zugriffe auf Daten oder Einstellungen würden vielleicht nicht bemerkt. "Der Nutzer erkennt gar nicht, dass da etwas verändert wurde", erklärt Grabow. "Das Gerät läuft ja." Denn das sei auch der Sinn von UPnP: Die Technologie soll es dem Nutzer bequem machen, ihm Arbeit abnehmen und dabei unbemerkt im Hintergrund bleiben.

Nutzer sollten ihrem Router mehr Beachtung schenken

Eine gute Nachricht: 80 bis 90 Prozent der Router in Deutschland sind nicht von den aktuellen UPnP-Verwundbarkeiten betroffen, sagt Thorsten Dietrich vom BSI. Trotzdem sollten Nutzer ihrem Router mehr Beachtung schenken, rät der Experte. Denn das Gerät stelle die Absicherung des Heimnetzwerks nach außen dar.

Falls vorhanden, sollte man die automatische Update-Funktion des Browsers aktivieren. Grundsätzlich müssten Warnungen der Provider vor Sicherheitslücken ernst genommen werden, schließlich gebe es immer wieder neue Schwachstellen. Ohne Auto-Update-Funktion gilt es deshalb, regelmäßig auf der Seite des Herstellers zu kontrollieren, ob neue Firmware verfügbar ist.

In der Standardkonfiguration eines Routers seien oft viele Dinge nicht so sicher, wie sie sein sollten, kritisiert auch Manfred Grabow. Bei einem neuen Gerät gilt es deshalb, das Passwort für das Einstellungsmenü des Routers zu ändern. Denn sowohl die IP-Adresse, die zum Menü führt, als auch das voreingestellte Menü-Passwort steht für jedermann recherchierbar im Handbuch. Ebenso sollte man prüfen, ob die Firewall, die grundlegenden Schutz vor Angriffen von außen bietet, wirklich aktiviert ist.

Voreingestellter Name des WLAN-Hotspots sollte geändert werden

Das BSI rät auch, den voreingestellten Namen des WLAN-Hotspots (SSID) zu ändern - in eine beliebige Bezeichnung, die keine Rückschlüsse auf Betreiber oder Router zulässt. Der WLAN-Schlüssel, mit dem der Zugang zum Hotspot kontrolliert wird, sollte ebenfalls geändert werden. Empfehlenswert ist nur die Verschlüsselungsmethode WPA2 und eine Schlüssellänge von mindestens 20 Zeichen.

Wie wichtig zuverlässige Hersteller-Updates sind, hat seinerzeit Sicherheitsexperte Chester Wisniewski im Blog Naked Security der Firma Sophos beschrieben. Da einige Firmen Updates zu bekanntgewordenen Sicherheitslücken nur sehr langsam oder gar nicht liefern, bliebe vielen Nutzern angesichts der UPnP-Problematik nur ein Abschalten des Dienstes - und noch nicht einmal das würde bei manchen Geräten funktionieren. Bei anderen gebe es wiederum eine Option für die Deaktivierung, nur zeige die Einstellung keinerlei Wirkung.

Wisniewskis Kritik ist aber noch viel grundsätzlicher. UPnP sei darauf ausgelegt, bestehende Sicherheitsvorkehrungen ohne Zustimmung oder Wissen der Person, die das Gerät kontrolliert, zu umgehen. Das öffne Kriminellen Tür und Tor. Sein Fazit: "Meiner Meinung nach ist UPnP eine der schlechtesten Ideen, die es je gab."

Mehr zum Thema Router